MODULO III

EL PROTOCOLO
TCP-IP

INVESTIGADOR DIGITAL FORENSE

INTRODUCCIN
La arquitectura TCP/IP esta hoy en da ampliamente difundida, a pesar de ser
una arquitectura de facto, en lugar de ser uno de los estndares definidos por la
ISO, IICC, etc...
Esta arquitectura se empez a desarrollar como base de la ARPANET (red de
comunicaciones militar del gobierno de los EE.UU), y con la expansin de la
INTERNET se ha convertido en una de las arquitecturas de redes ms difundida.
Antes de continuar, pasemos a ver la relacin de esta arquitectura con respecto al
modelo de referencia OSI (Open Systems Interconnection) de la ISO. As como el
modelo de referencia OSI posee siete niveles (o capas), la arquitectura TCP/IP
viene definida por 4 niveles: el nivel de subred [enlace y fsico], el nivel de
interred [Red, IP], el protocolo proveedor de servicio [Transporte, TCP o UDP] ,
y el nivel de aplicacin.
El Protocolo Internet (Internet Protocol - IP)
El protocolo IP es el principal del modelo OSI, as como parte integral del
TCP/IP. Las tareas principales del IP son el direccionamiento de los datagramas
de informacin y la administracin del proceso de fragmentacin de dichos
datagramas.
El datagrama es la unidad de transferencia que el IP utiliza, algunas veces
identificada en forma ms especfica como datagrama Internet o datagrama IP
Las caractersticas de este protocolo son:
NO ORIENTADO A CONEXIN
Transmisin en unidades denominadas datagramas.
Sin correccin de errores, ni control de congestin.
No garantiza la entrega en secuencia.

INVESTIGADOR DIGITAL FORENSE

La entrega del datagrama en IP no est garantizada porque sta se puede

retrasar, enrutar de manera incorrecta o mutilar al dividir y re ensamblar los
fragmentos del mensaje. Por otra parte, el IP no contiene suma de verificacin
para el contenido de datos del datagrama, solamente para la informacin del
encabezado.
En cuanto al ruteo (encaminamiento) este puede ser:
Paso a paso a todos los nodos
Mediante tablas de rutas estticas o dinmicas
Direccionamiento IP
El TCP/IP utiliza una direccin de 32 bits para identificar una mquina y la red a
la cual est conectada. nicamente el NIC (Centro de

Informacin de Red)

asigna las direcciones IP (o Internet), aunque si una red no est conectada

a Internet, dicha red puede determinar su propio sistema de numeracin.
Hay cuatro formatos para la direccin IP, cada uno de los cuales se utiliza
dependiendo del tamao de la red. Los cuatro formatos, Clase A hasta Clase D
(aunque ltimamente se ha aadido la Clase E para un futuro) aparecen en la
figura:

INVESTIGADOR DIGITAL FORENSE

Conceptualmente, cada direccin est compuesta por un par (RED (net id),
y Dir. Local (host id)) en donde se identifica la red y el host dentro de la red.
La clase se identifica mediante las primeras secuencias de bits, a partir de los 3
primeros bits (de orden ms alto).
Las direcciones de Clase A corresponden a redes grandes con muchas
mquinas. Las direcciones en decimal son 0.1.0.0 hasta la 126.0.0.0 (lo que
permite hasta 1.6 millones de hosts).
Las direcciones de Clase B sirven para redes de tamao intermedio, y el rango de
direcciones vara desde el 128.0.0.0 hasta el 191.255.0.0. Esto permite tener
16320 redes con 65024 host en cada una.
Las direcciones de Clase C tienen slo 8 bits para la direccin local o de anfitrin
(host) y 21 bits para red. Las direcciones de esta clase estn comprendidas
entre 192.0.1.0 y 223.255.255.0, lo que permite cerca de 2 millones de redes
con 254 hosts cada una.
Por ltimo,

las direcciones de Clase D se usan con

fines de multidifusin,

cuando se quiere una difusin general a ms de un dispositivo. El rango es

desde 224.0.0.0 hasta 239.255.235.255.
Cabe decir que, las direcciones de clase E (aunque su utilizacin ser futura)
comprenden el rango desde 240.0.0.0 hasta el 247.255.255.255.
Por tanto, las direcciones IP son cuatro conjuntos de 8 bits, con un total
de

32

bits.

Por comodidad estos bits se representan como si estuviesen

separados por un punto, por lo que el formato de direccin IP puede ser

red.local.local.local para Clase A hasta red.red.red.local para clase C.
A partir de una direccin IP, una red puede determinar si los datos se enviarn
a travs de una compuerta (GTW, ROUTER). Obviamente, si la direccin de la
red es la misma que la direccin actual (enrutamiento a un dispositivo de red
local, llamado host directo), se evitar la compuerta; pero todas las dems
direcciones de red se enrutarn a una compuerta para que salgan de la red
local. La compuerta que reciba los datos que se transmitirn a otra red,
tendr entonces que determinar el enrutamiento can base en la direccin IP de
los datos y una tabla interna que contiene la informacin de enrutamiento.

INVESTIGADOR DIGITAL FORENSE

Otra de las ventajas que ofrece el direccionamiento IP es el uso de direcciones de

difusin (broadcast addresses), que hacen referencia a todos los host de la
misma red. Segn el estndar, cualquier direccin local (host id) compuesta
toda

por

1s

est

reservada

para difusin (broadcast). Por ejemplo, una

direccin que contenga 32 1s se considera un mensaje difundido a todas las

redes y a todos los dispositivos. Es posible difundir en todas las mquinas
de una red alterando a 1s toda la direccin local o de anfitrin (hostid), de
manera que la direccin 147.10.255.255 para una red de Clase B se recibira en
todos los dispositivos de dicha red ; pero los datos no saldran de dicha red.
Consideremos la siguiente direccin IP en binario:
11001100.00001000.00000000.10101010 (204.8.0.170)
La direccin de la mscara (MASK) es en binario:
11111111.11111111.11100000.00000000 (255.255.224.0)
Segn lo visto anteriormente, para hallar la direccin se SubRED (SubNet)
tomamos la IP y considerando que todo lo que tenga 1s en la mscara se
queda como esta en la IP, y todo lo que tenga 0s en la mscara se pone a
0 en la IP. Entonces, la direccin de SubRed es:
11001100.00001000.00000000.00000000 (204.8.0.0)
DIRECCIONES DE RED Y DE DIFUSIN
La mayor ventaja de la codificacin de informacin de red en las direcciones de
red en IP tiene una ventaja importante: hacer posible que exista un ruteo
eficiente. Otra ventaja es que las direcciones de red IP se pueden referir tanto a
redes como a anfitriones (hosts). Por regla, nunca se asigna un campo host ID
igual a 0 a un anfitrin individual. En vez de eso, una direccin IP con campo
host ID a 0 se utiliza para referirse a la red en s misma. En resumen:
Las direcciones IP se pueden utilizar para referirse a redes as como a anfitriones
individuales. Por regla, una direccin que tiene todos los bits del campo hostID a
0, se reserva para referirse a la red en s misma.

INVESTIGADOR DIGITAL FORENSE

Otra ventaja significativa del esquema de direccionamiento IP es que ste incluye

una direccin de difusin (BROADCAST) que se refiere a todos los anfitriones de
la red. De acuerdo con el estndar, cualquier campo hostID consistente
solamente en 1s, esta reservado para la difusin (BROADCAST). Esto permite que
un sistema remoto enve un slo paquete que ser publidifundido en la red
especificada.
RESUMEN DE REGLAS ESPECIALES DE DIRECCIONAMIENTO:
En la prctica, el IP utiliza slo unas cuantas combinaciones de ceros ("est") o
unos ("toda"). Las posibilidades son las siguientes:
TODOS 0 - ste anfitrin (permitido solamente en el arranque del sistema,
pero nunca es una direccin vlida de destino.
TODOS 0 |

ANFITRIN - Anfitrin en sta RED (solo para arranque, no

como dir. vlida)

TODOS 1

- Difusin limitada (red local) (Nunca es una direccin vlida de

origen) RED | TODOS 1 - Difusin dirigida para RED ("

")

127 | NADA (a menudo 1) - LOOPBACK (nunca de be aparecer en una red

Como se menciona arriba, la utilizacin de todos los ceros para la red slo est
permitida durante el procedimiento de iniciacin de la mquina. Permite que
una mquina se comunique temporalmente. Una vez que la mquina "aprende"
su red y dir. IP correctas, no debe utilizar la red 0.
PROTOCOLOS DE RUTEO (nivel IP).
A dos routers dentro de un sistema autnomo se les denomina "interiores" con
respecto a otro.
Cmo pueden los routers en un sistema autnomo aprender acerca de redes
dentro del sistema y redes externas?
En redes como InterNet que tienen varias rutas fsicas, los administradores por lo
general seleccionan una de ellas como ruta primaria. Los ruteadores interiores

INVESTIGADOR DIGITAL FORENSE

normalmente se comunican con otros, intercambian informacin de accesibilidad

a red o informacin de ruteo de red, a partir de la cual la accesibilidad se puede
deducir.
A diferencia de esto, en la comunicacin de un router exterior no se ha
desarrollado un solo protocolo que se utilice con los sistemas autnomos.
Protocolo de Informacin de Ruteo (RIP).
Uno de los I.G.P. (Interior Gateway Protocol) ms ampliamente utilizados es el
RIP, tambin conocido con el nombre de un programa que lo implementa (el
routeD o Route Daemon). El protocolo RIP es consecuencia directa de la
implantacin del ruteo de vector-distancia para redes locales. En principio, divide
las mquinas participantes en activas o pasivas (silenciosas). Los routers activos
anuncian sus rutas a los otros; las mquinas pasivas listan y actualizan sus rutas
con base a estos anuncios. Slo un router puede correr RIP en modo activo de
modo que un anfitrin deber correr el RIP en modo pasivo. Un router con RIP
en activo difunde un mensaje cada 30 segundos, ste mensaje contiene
informacin tomada de la base de datos de ruteo actualizada. Cada mensaje
consiste en pares, donde cada par contiene una direccin IP y un entero que
representa la distancia hacia esta red (el IP address).
El RIP por tanto hace uso de un vector de distancias, con una mtrica por
nmero de saltos donde se considera que 16 saltos o ms es infinito. De esta
manera, el nmero de saltos (hops number) o el contador de saltos (hop count)
a lo largo de una trayectoria desde una fuente dada hacia un destino dado hace
referencia al nmero de routers que un datagrama encontrar a lo largo de su
trayectoria. Por tanto lo que se hace es utilizar el conteo de saltos para calcular la
trayectoria ptima (aunque esto no siempre produce resultados buenos).
Para prevenir que dos routers oscilen entre dos o ms trayectorias de costos
iguales, RIP especfica que se deben conservar las rutas existentes hasta que
aparezca una ruta nueva con un costo estrictamente menor.
Si falla el primer router que anuncia la ruta RIP especfica que todas las escuchas
deben asociar un tiempo lmite a las rutas que aprenden por medio de RIP.
Cuando un router instala una ruta en su tabla, inicia un temporizador para tal

INVESTIGADOR DIGITAL FORENSE

ruta. Este tiempo debe iniciarse cada vez que el router recibe otro mensaje RIP
anunciando la ruta. La ruta queda invalidada si transcurren 180 segundos sin que
el router haya recibido un anuncio nuevamente. RIP debe manejar tres tipos de
errores ocasionados por los algoritmos subyacentes. En primer lugar, dado que
el algoritmo no especifica deteccin de ciclos de ruteo, RIP debe asumir que los
participantes son confiables o deber tomar precauciones para prevenir los ciclos.
En segundo lugar, para prevenir inestabilidades, RIP debe utilizar un valor bajo
para la distancia mxima posible (RIP utiliza 16 saltos como medida mxima).
Esto implica que para una red como Internet, los administradores deben dividirla
en secciones o utilizar un protocolo alternativo. En tercer y ltimo lugar, el
algoritmo vector-distancia empleado por RIP crea un problema de convergencia
lenta o conteo al infinito, problema en el cual aparecern inconsistencias, debido
a que los mensajes de actualizacin de ruteo se difunden lentamente a travs de
la red. Seleccionando un infinito pequeo (16) se ayuda a limitar la convergencia
lenta, pero NO se elimina.
La inconsistencia en la tabla de ruteo no es exclusiva de RIP, ste es un problema
fundamental que se presenta en todo protocolo con algoritmos vector-distancia,
en el que los mensajes de actualizacin transportan nicamente pares de redes de
destino y distancias hacia estas redes.

INVESTIGADOR DIGITAL FORENSE